JumpServer 目录穿越漏洞-低调大师

Docker 23.0.7 现已发布，具体更新内容如下： Bug fixes and enhancements 修复重新加载insecure-registries守护进程配置的问题。#45572 再次允许POST /commit为 empty body。#45569 修复了当 Swarm 数据路径端口未设置为 4789 时导致加密覆盖网络无法运行的问题。#45638 修复容器正常关闭的问题。#45775 修复docker build中的主机网关支持。#45791 修复 Swarm 集群卷NodeCSIInfo中缺失的拓扑。#45809 seccomp：始终允许name_to_handle_at(2).#45834 修复了导致无法移除挂载到实时恢复容器上的卷的问题。#45825 client：解决与 Go 1.20.6、Go 1.20.7、Go 1.19.11 和 Go 1.19.12 的不兼容问题。#45971 修复了当使用--security-opt=no-new-privileges以非 root 用户身份启动容器时无法保留进程功能的问题。#46222 修复了一个 Bug，该 Bu...

394

2023-09-28 10:11:00

JumpServer 任意密码重置漏洞

漏洞描述 JumpServer 是一款开源的堡垒机。在受影响版本中，由于第三方库django-simple-captcha可以在 API /core/auth/captcha/images/{seed}中设置 random.seed随机种子，导致随机生成的重置密码token存在重放风险。当使用本地认证时，攻击者可以对已知用户名发送重置密码链接，通过重放得到重置密码链接的token（例如https://xxx.com/core/auth/password/reset/?token=v4q1yLMqZ99jxxx），从而修改用户密码，登录对应用户账号。漏洞名称 JumpServer 任意密码重置漏洞漏洞类型输入验证不恰当发现时间 2023-09-27 漏洞影响广度广 MPS编号 MPS-7u1t-o45e CVE编号 CVE-2023-42820 CNVD编号 - 影响范围 JumpServer@[2.24, 2.28.19) JumpServer@[3.6.0, 3.6.5) JumpServer@[3.5.0, 3.5.6) 修复方案启用MFA或禁用本地身份验证参考链接...

405

资源下载

更多资源

Apache Tomcat7、8、9（Java Web服务器）

Tomcat是Apache 软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun 和其他一些公司及个人共同开发而成。因为Tomcat 技术先进、性能稳定，而且免费，因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可，成为目前比较流行的Web 应用服务器。

Eclipse（集成开发环境）

Eclipse 是一个开放源代码的、基于Java的可扩展开发平台。就其本身而言，它只是一个框架和一组服务，用于通过插件组件构建开发环境。幸运的是，Eclipse 附带了一个标准的插件集，包括Java开发工具（Java Development Kit，JDK）。

Java Development Kit(Java开发工具)

JDK是 Java 语言的软件开发工具包，主要用于移动设备、嵌入式设备上的java应用程序。JDK是整个java开发的核心，它包含了JAVA的运行环境（JVM+Java系统类库）和JAVA工具。

Sublime Text 一个代码编辑器

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。